Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2004 > CERT-FI varoitus 03/2004

CERT-FI varoitus 03/2004

19.1.2004

Bagle-haittaohjelma leviää aktiivisesti

Bagle-haittaohjelma on tyypiltään sähköpostimato, joka leviää sähköpostin liitetiedoston välityksellä. Bagle lähettää madon sisältämiä sähköpostiviestejä otsikolla "Hi" arpoen viestin sisältämän .exe -liitetiedoston nimen automaattisesti. Haittaohjelma etsii saastuttamastaan tietojärjestelmästä Windows Address Bookin (osoitekirja) sisältämiä wab-tiedostoja sekä text, htm ja html-tiedostoja etsien niistä sähköpostiosoitteita. Tämän jälkeen Bagle lähettää itsensä oman SMTP (Simple Mail Transfer Protocol) -koneistonsa avulla löytämiinsä sähköpostiosoitteisiin väärentäen lähettämiensä sähköpostien lähettäjätiedot.

Mato avaa saastuneeseen tietojärjestelmään takaportin, joka kuuntelee TCP portissa 6777. Tämä toiminto mahdollistaa hyökkääjän suorittavan kohdetietojärjestelmässä omia komentojaan ja/tai siirtää kohdetietojärjestelmään omia tiedostojaan. Bagle saattaa yrittää myös ladata saastuttamaansa tietojärjestelmään Mitglieder-nimisen troijalaisen hevosen. Lisätietoja Mitglieder troijalaisesta on saatavilla mm. osoitteesta: http://www.f-secure.com/v-descs/mitglied.shtml

Saastuttaessaan kohdetietojärjestelmän Bagle kopio itsensä Windows System hakemistoon nimellä "bbeagle.exe". Bagle-mato lisää myös tiedostonimen Windows-käyttöjärjestelmän rekisteriin seuraavasti:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe]

Tämän rekisteriavaimen tarkoituksena on varmistua siitä, että mato aktivoituu, kun Windows-käyttöjärjestelmä käynnistetään. Bagle lisää Windows-käyttöjärjestelmän rekisteriin myös arvot:

[HKCU\Software\Windows98\frun]

[HKCU\Software\Windows98\uid]

Kun mato käynnistyy kohdetietojärjestelmässä ensimmäistä kertaa se käynnistää Windows Calculator (laskin) -ohjelman merkkinä saastumisesta.

Bagle-madon lähettämät sähköpostiviestit sisältävät seuraavat tiedot:

Subject: Hi
Body: Test =)
<random characters)

--
Test, yep.

Attachment: <random characters>.exe

Bagle lopettaa leviämisensä 28. päivä tammikuuta 2004.

VAROITUKSEN KOHDERYHMÄ:

  • Microsoft Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustorjuntatietokannan ajantasaisuudesta

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Bagle-haittaohjelman sisältämät sähköpostiviestit

Lisätietoa Bagle-madon manuaalisesta poistamisesta saastuneesta tietojärjestelmästä on saatavilla CERT-FI:n julkaisemasta ohjeesta 1/2004, joka on saatavilla osoitteesta:

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-01.htm

LISÄTIETOA:

http://www.f-secure.com/v-descs/bagle.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html

http://vil.nai.com/vil/content/v_100965.htm

http://www.sophos.com/virusinfo/analyses/w32baglea.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=43789

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-01.htm

PÄIVITYSHISTORIA:

19.01.2004: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio